Mae datblygwyr platfform Packj, sy'n dadansoddi diogelwch llyfrgelloedd, wedi cyhoeddi pecyn cymorth llinell orchymyn agored sy'n eu galluogi i nodi strwythurau peryglus mewn pecynnau a allai fod yn gysylltiedig â gweithredu gweithgaredd maleisus neu bresenoldeb gwendidau a ddefnyddir i gyflawni ymosodiadau ar brosiectau sy'n defnyddio'r pecynnau dan sylw (“cadwyn gyflenwi”). Cefnogir gwirio pecynnau mewn ieithoedd Python a JavaScript, a gynhelir yng nghyfeirlyfrau PyPi ac NPM (maen nhw hefyd yn bwriadu ychwanegu cefnogaeth i Ruby a RubyGems y mis hwn). Mae cod y pecyn cymorth wedi'i ysgrifennu yn Python a'i ddosbarthu o dan drwydded AGPLv3.
Yn ystod y dadansoddiad o 330 mil o becynnau gan ddefnyddio'r offer arfaethedig yn ystorfa PyPi, nodwyd 42 o becynnau maleisus gyda drysau cefn a 2.4 mil o becynnau peryglus. Yn ystod yr arolygiad, cynhelir dadansoddiad cod statig i nodi nodweddion API a gwerthuso presenoldeb gwendidau hysbys a nodir yng nghronfa ddata OSV. Defnyddir y pecyn MalOSS i ddadansoddi'r API. Mae'r cod pecyn yn cael ei ddadansoddi ar gyfer presenoldeb patrymau nodweddiadol a ddefnyddir yn gyffredin mewn malware. Paratowyd y templedi yn seiliedig ar astudiaeth o 651 o becynnau gyda gweithgaredd maleisus wedi'i gadarnhau.
Mae hefyd yn nodi priodoleddau a metadata sy'n arwain at risg uwch o gamddefnydd, megis gweithredu blociau trwy “eval” neu “exec”, cynhyrchu cod newydd yn ystod amser rhedeg, defnyddio technegau cod cymhleth, trin newidynnau amgylchedd, mynediad heb fod yn darged i ffeiliau, cyrchu adnoddau rhwydwaith mewn sgriptiau gosod (setup.py), defnyddio typequatting (aseinio enwau tebyg i enwau llyfrgelloedd poblogaidd), nodi prosiectau sydd wedi dyddio ac wedi'u gadael, nodi negeseuon e-bost a gwefannau nad ydynt yn bodoli, diffyg ystorfa gyhoeddus gyda chod.
Yn ogystal, gallwn nodi bod ymchwilwyr diogelwch eraill wedi nodi pum pecyn maleisus yn ystorfa PyPi, a anfonodd gynnwys newidynnau amgylchedd i weinydd allanol gyda'r disgwyliad o ddwyn tocynnau ar gyfer AWS a systemau integreiddio parhaus: loglib-modules (a gyflwynir fel modiwlau ar gyfer y llyfrgell loglib gyfreithlon), pyg-modiwlau , pygrata a pygrata-utils (wedi'u cyfeirio fel ychwanegiadau i'r llyfrgell pyg cyfreithlon) a hkg-sol-utils.
Ffynhonnell: opennet.ru